國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞498個，互聯網上出現“Aptana Jaxer wikilite源碼瀏覽器本地文件包含漏洞、Joomla!組件com_jssupportticket SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

你的APP引入的第三方SDK可能是個“暗樁”

一些SDK雖然沒有在官方文檔中申明所用某類權限或者收集某類數據，但是在實際的分析中它被發現會根據其嵌入的APP的具體權限，選擇性地收集用戶的個人信息。>>詳細

網絡安全威脅上升 軟件和IT安全服務業發展空間大

工信部網絡安全管理局副局長楊宇燕表示，為了做好網絡安全工作，工信部正在從四方面體系化推進網絡安全建設。>>詳細

CFCA趙宇：守正創新，金融科技必將促進金融業健康發展

ABCD（人工智能、區塊鏈、云計算、大數據）不是天降神器，更不是救命稻草，銀行從業者應該理性看待并合理運用金融科技，結合業務場景發揮金融科技的優勢，提升效率，防控風險。>>詳細

《軟件開發包（SDK）安全與合規白皮書》正式發布

白皮書體現了中國信通院安全研究所和環球律所在第三方SDK安全與合規問題方面的最新研究成果，為移動互聯網網絡與數據安全、個人信息保護管理要求及規則的制定提供一些有益參考。>>詳細

農業銀行王怡：淺談數字化轉型下商業銀行的網絡安全挑戰與應對

一直以來新技術的引入和應用都是一把雙刃劍，在帶給人們工作高效和生活便利的同時，網絡安全風險也始終如影隨形，并隨著信息化發展階段的不同而衍化。>>詳細

中國在量子技術取得重大突破 可能生產世界上第一個量子技術芯片

中國科學家的做法是把量子運動軌跡描述下來，并且固定在硬盤之中，從而使量子技術運算從理論變為現實。>>詳細

警方點名！嘉聯支付旗下立刷App違規！

據曝光情況顯示，立刷App存在讀取用戶通訊錄；允許發送短信、彩信；允許錄制音頻等超范圍收集用戶信息的情況，且沒有隱私政策。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年8月12日-18日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞498個，其中高危漏洞167個、中危漏洞263個、低危漏洞68個。漏洞平均分值為5.82。本周收錄的漏洞中，涉及0day漏洞149個（占37%），其中互聯網上出現“Aptana Jaxer wikilite源碼瀏覽器本地文件包含漏洞、Joomla!組件com_jssupportticket SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞執行代碼。

CNVD收錄的相關漏洞包括：Google Android緩沖區溢出漏洞（CNVD-2019-27574、CNVD-2019-27575、CNVD-2019-27576、CNVD-2019-27577、CNVD-2019-27579、CNVD-2019-27580、CNVD-2019-27578、CNVD-2019-27581）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Edge是Microsoft公司為Windows 10打造的瀏覽器，特點是快速、安全。ChakraCore是一個Microsoft開源的、用于Windows IE/Edge內核的高效JS腳本引擎。上周，該產品被披露存在內存破壞和遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Edge Chakra腳本引擎內存破壞漏洞（CNVD-2019-27084、CNVD-2019-27085、CNVD-2019-27086、CNVD-2019-27087）、Microsoft Windows遠程桌面服務遠程代碼執行漏洞（CNVD-2019-27323、CNVD-2019-27324、CNVD-2019-27325、CNVD-2019-27325）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

AdobePhotoshop，簡稱“PS”，是由Adobe公司開發和發行的圖像處理軟件。Photoshop CC是Photoshop Creative Cloud版。上周，上述產品被披露存在越界寫入漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Photoshop CC越界寫入漏洞（CNVD-2019-27490、CNVD-2019-27488、CNVD-2019-27489、CNVD-2019-27491、CNVD-2019-27492、CNVD-2019-27493、CNVD-2019-27494、CNVD-2019-27495）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle Fusion Middleware（Oracle融合中間件）是一套面向企業和云環境的業務創新平臺。該平臺提供了中間件、軟件集合等功能。WebLogic Server是其中的一個適用于云環境和傳統環境的應用服務器組件。Oracle Virtualization是一套虛擬化解決方案。上周，上述產品被披露存在信息泄露和訪問控制錯誤漏洞，攻擊者可利用漏洞影響數據的保密性、完整性和可用性。

CNVD收錄的相關漏洞包括：Oracle WebLogic Server組件信息泄露漏洞（CNVD-2019-27105、CNVD-2019-27106、CNVD-2019-27107、CNVD-2019-27108）、Oracle VM VirtualBox訪問控制錯誤漏洞（CNVD-2019-27293、CNVD-2019-27294、CNVD-2019-27296、CNVD-2019-27297）。目前，廠商已經發布了上述漏洞的修補程序。

Edimax Wi-Fi Extender跨站請求偽造漏洞

Edimax Technology Wi-Fi Extender是一款無線信號擴展器。上周，Edimax Technology Wi-Fi Extender被披露存在跨站請求偽造漏洞。攻擊者可利用該漏洞通過受影響客戶端向服務器發送非預期的請求。

小結

上周，Google被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞執行代碼。此外，Microsoft、Adobe、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞影響數據的保密性、完整性和可用性。Edimax Wi-Fi Extender被披露存在跨站請求偽造漏洞。攻擊者可利用該漏洞通過受影響客戶端向服務器發送非預期的請求。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中證網、證券時報網、中國信通院、中國金融電腦、移動支付網、solidot報道

責任編輯：韓希宇